- なぜセキュリティ「監視」が必要なのか
- 完璧な防御は存在しない
- 防御のトレードオフ
- セキュリティ監視に必要な3つの機能
- アラートの検出
- アラートの分析
- アラートの管理
- セキュリティ監視のアンチパターン
- 「AI・機械学習がいい感じに対応してくれます」
- 「一目でわかります」
- 「設置するだけで大丈夫です」
- セキュリティ監視に取り組む前に
- 情報資産は何かを特定する
- 攻撃のシナリオを考える
- 設計で考えるべき6つのポイント
- どのログを集めるか
- 対象となるログの種類例
- どこまでのログを集めるべきか
- どうやってログを配送するか
- 集めたログの保管
- どのようにログを処理するか
- パイプラインを作る
- 処理のベストプラクティス
- どのようにログを検索するか
- 通常のデータ分析基盤との違い
- 検索基盤の選び方
- どのようにアラートを検出するか
- 監視装置による検出
- ログ分析(機械)による検出
- ログ分析(人力)による検出
- どこまで検出できればいいか
- どのようにアラートを管理するか
- 状態の管理と共有
- 知識の共有
- どのようにアラートに対応するか
- セキュリティ監視のSLOを考える
- チームを作る場合
- 外部に委譲する場合
- どのログを集めるか
- セキュリティ監視基盤の実装パターン
- Security Information & Event Manager
- AWSのマネージドサービスを利用した例
- セキュリティ監視の運用
- 収集しているログを見直す
- アラートを減らす
- セキュリティ監視の高度化
- 分析の自動化
- リスク評価の自動化
- 異常検知